Kunden-News

Zürich, 11. Mai 2026 – Während die Nutzung von KI im Cybersecurity-Umfeld zunimmt, bleiben entsprechende Lösungen hinter den Erwartungen zurück. Ontinue, der führende Experte für Managed Extended Detection and Response (MXDR), nennt fünf Hindernisse, die dem effizienten Einsatz der Technologie im Wege stehen. Nur Security Operations Centers, die sie überwinden, sind wirklich „AI-ready“.

Im konstanten Konflikt zwischen Cyberkriminellen und Security Operations Centers (SOCs) ist KI zum Schlüsselfaktor geworden – auf beiden Seiten: Hacker setzen die Technologie ein, um automatisiert und pfeilschnell Schwachstellen in potenziell vulnerablen IT-Systemen aufzuspüren. SOCs nutzen sie hingegen, um Attacken rapide zu identifizieren und automatisierte Gegenmaßnahmen ausführen zu lassen. Das Problem ist allerdings, dass viele Security Operations Centers nicht „AI-ready“ sind. Das liegt, so Ontinue, an folgenden fünf Problemen:

1. Der Fokus liegt auf Detection statt auf Outcome

Die meisten SOCs messen ihren Erfolg daran, wie viele Bedrohungen sie erkannt oder wie viele Tickets sie bearbeitet haben. Ob sie tatsächliche Lösungen erzielen und Schaden abwenden, ist viel zu oft zweitrangig. Doch damit KI-Systeme wirklich sinnvoll helfen können, müssen sie auf die schnelle Schadensabwehr und eben die Vermeidung von Schaden am System hin optimiert sein. Wenn SOCs ihren Fokus aber nicht auf Outcomes legen, können sie auch die KI nicht sinnvoll trainieren. In der Folge bleibt der digitale Helfer eher ein Alarmgenerator, statt ein echter Helfer bei der Schadensabwehr.

2. Der Anteil an False Positives ist zu hoch

EDR-Systeme (Endpoint Detection and Response) und SIEM-Lösungen (Security Incident and Event Management) werfen gerne auch mal False Positives aus, also Sicherheitsalarme ohne echte Gefahr. Das belastet nicht nur die Sicherheitsanalysten in SOCs, sondern kann auch ein KI-Training torpedieren. Künstliche Intelligenz benötigt konsistente, saubere Trainingsdaten, sonst lernt sie nicht zuverlässig und ist im Betrieb ineffektiv. Analysten sollten daher Fehlalarme konsequent entfernen, sodass sie ihre KI-Modelle nicht in die Irre führen und echte Bedrohungen verschleiern.

3. Blind Spots bleiben unerkannt

Einige SOCs setzen auf einen Flickenteppich an Sicherheitssoftware, der für jedes Problem eine Insellösung beinhaltet. Dadurch entstehen blinde Flecken, die für das Training einer KI desaströs sind. Der Zustand wird noch begünstigt, wenn die Analysten gar keine vollständige Übersicht über sämtliche Assets haben. Gerade wenn ein Unternehmen sehr viele Endpunkte abdecken muss, die teils nicht zentralisiert verwaltet werden, tritt dieses Problem auf. Um eine KI sinnvoll einzusetzen, benötigt sie allerdings vollständige Telemetriedaten und lückenlose Transparenz. Blind Spots hingegen führen dazu, dass KI falsche Entscheidungen trifft. Ein ganzheitliches Monitoring ist daher unbedingt einzusetzen.

4. Feedback-Loops finden nicht statt

In vielen SOCs ist der Workflow relativ klar definiert: Nach der Detection folgt die Response, dann geht es weiter zur nächsten Fehlermeldung. Systematisches Lernen via Feedback-Schleifen findet selten statt. Auch in den Ticketsystemen werden Tickets einfach nur abgehakt, statt sie wirklich mit informativem Mehrwert über Begleitumstände zu füllen. KI-Systeme benötigen aber gerade diese Informationen, um sich an neue Bedrohungen anzupassen und ihre Effizienz sowie Präzision zu steigern.

5. Unflexible Entscheidungsprozesse bremsen aus

In klassisch geführten SOCs eskalieren Analysten oft jede Entscheidung und warten auf Genehmigungen von oben. Schnelle Reaktionen auf akute Sicherheitsvorfälle sind somit ausgeschlossen. Für den sinnvollen Einsatz von KI sind diese antiquierten Workflows katastrophal. Um AI-ready zu werden, benötigen SOCs daher klar definierte Entscheidungsrichtlinien und Vorgaben, wann welche Entscheidung einer Absegnung durch den Menschen bedarf. Nur mit einem gewissen Maß an Freiheit ist Automatisierung überhaupt denkbar und nur dann bietet sie einen echten Mehrwert im Kampf gegen Cyberkriminelle.

„Für das Prädikat ‚AI-ready‘ gibt es keine Abkürzung und keinen Kompromiss“, betont Theus Hossmann, CTO bei Ontinue. „SOCs müssen ihre Prozesse und Workflows auf KI abstimmen und die Basis für ein sinnvolles sowie konsistentes Training schaffen. Nur dann werden sie zuverlässige und wertvolle Ergebnisse erhalten und im Kampf mit Cyberkriminellen wieder eine Nasenlänge voraus sein.“

Über Ontinue

Ontinue, der Experte für KI-gestützte Managed Extended Detection and Response (MXDR), ist ein rund um die Uhr verfügbarer Sicherheitspartner mit Hauptsitz in Zürich. Um die IT-Umgebungen von Unternehmen durchgehend zu schützen, ihren Sicherheitsstatus zu bewerten und kontinuierlich zu verbessern, kombiniert Ontinue in seinem Managed Security Operations Center (SOC) KI-gesteuerte Automatisierung und menschliches Fachwissen mit dem Microsoft-Sicherheits-Produktportfolio. Durch die intelligente, Cloud-basierte Nonstop-SecOps-Plattform reicht Ontinues Schutz vor Cyberattacken weit über die grundlegenden Detection- und Response-Services hinaus.

Weitere Informationen gibt es unter www.ontinue.com.

Pressekontakt

PR-COM GmbH
Katrin Link
Senior Account Executive
Sendlinger-Tor-Platz 6
80336 München
Telefon +49 89 59997-814
katrin.link@pr-com.de